Aktér, kterého Microsoft eviduje jako Aqua Blizzard (ACTINIUM), je státní skupinou aktivit se základnou mimo Rusko. Ukrajinská vláda tuto skupinu veřejně připisuje bezpečnostní ruské Federální službě bezpečnosti (FSB). Je známo, že Aqua Blizzard (ACTINIUM) se soustředí na ukrajinské organizace, včetně vládních subjektů, vojenských, nevládních organizací, soudní moci, bezpečnostních složek a neziskových organizací, stejně jako subjektů souvisejících s ukrajinskými záležitostmi. Aqua Blizzard (ACTINIUM) se zaměřuje na špionáž a exfiltraci citlivých informací. Taktiky Aqua Blizzard (ACTINIUM) se neustále vyvíjí a zahrnují velké množství pokročilých technik a postupů. Tento aktér je známý především pro své spear-phishingové emaily s nebezpečnými přílohami obsahujícími škodlivou činnost viru prvního stupně, která stahuje a spouští další škodlivou činnost viru. Aktér používá řadu vlastních nástrojů a malwaru, aby dosáhl svých cílů, přičemž často používá matoucí VBScripts, příkazy PowerShell, samorozbalovací archivy, soubory zástupce Windowsu (LNK) nebo kombinaci zmíněných nástrojů. Aqua Blizzard (ACTINIUM) se často spoléhá na naplánované úlohy v těchto skriptech, aby si zachovala vytrvalost.
Aqua Blizzard (ACTINIUM) také často nasazuje nástroje jako Pterodo — neustále se vyvíjející rodinu malwaru — s cílem získat interaktivní přístup k cíleným sítím, zachovat si vytrvalost a shromáždit inteligenci. V některých případech nasazují také UltraVNC — nástroj softwaru vzdálené plochy — s cílem povolit interaktivnější spojení s cílem. Aqua Blizzard (ACTINIUM) zaměstnává různorodé rodiny malwaru, včetně DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry a PowerPunch. Další bezpečnostní firmy sledují Aqua Blizzard (ACTINIUM) jako Gamaredon, Armageddon, Primitive Bear a UNC530.